En el informe de actividad de grupos APT publicado recientemente por ESET se resumen las actividades de varios grupos seleccionados de amenazas persistentes avanzadas (APT) que fueron observadas, investigadas y analizadas por los investigadores de ESET desde octubre de 2022 hasta fines de marzo de 2023. Los lectores atentos notarán que una pequeña porción del informe también menciona algunos eventos cubiertos previamente en el informe APT del tercer trimestre de 2022. Esto se debe a nuestra decisión a la hora de cambiar la periodicidad de este informe, pasando ahora a ser semestral. La edición actual abarca el cuarto trimestre de 2022 y el primer trimestre de 2023, mientras que la próxima edición cubrirá el segundo y el tercer trimestre de 2023.
Durante el periodo de tiempo analizado, varios grupos APT alineados con China se centraron en atacar organizaciones europeas y asiáticas, empleando tácticas que implicaban el uso de nuevas variantes de amenazas conocidas y nuevas puertas traseras, así como también nuevos métodos de distribución de malware. Además, entre las víctimas encontramos a una empresa especializada en apuestas en Filipinas, instituciones gubernamentales en el sur de Asia y un elevado número de intentos de phishing en el correo web de Zimbra.
En Oriente Próximo, algunos grupos alineados con Irán cambiaron de táctica y dejaron de utilizar sus propias herramientas para usar scripts de PowerShell. Mientras tanto, otros grupos con objetivos en Israel siguieron utilizando sus herramientas personalizadas para conseguir sus objetivos.
Por su parte, grupos alineados con Corea del Norte siguieron centrándose en entidades surcoreanas o relacionadas con Corea del Sur utilizando sus conjuntos de herramientas habituales. Además de dirigirse a los empleados de un contratista de defensa en Polonia con una falsa oferta de trabajo de Boeing, Lazarus también dejó de centrarse en sus objetivos sectoriales habituales para hacerlo en una empresa de gestión de datos en India, utilizando el nombre de la empresa Accenture como cebo. Además, también identificamos un malware para Linux siendo utilizado en una de sus campañas.
Los grupos APT alineados con Rusia estuvieron especialmente activos en Ucrania y los países de la Unión Europea, con varios casos detectados de wipers (destructores de información) que incluían alguna variante nueva no detectada hasta el momento. Además, se siguieron utilizando correos electrónicos dirigidos que, en algunos casos, llevaron a la ejecución de herramientas usadas en labores de pentesting para conseguir comprometer la red de la víctima.
Por último, detectamos que la plataforma de correo electrónico Zimbra, mencionada anteriormente, también fue explotada por un grupo especialmente activo en Europa, y observamos un descenso significativo en la actividad de un grupo que tiene como objetivo al personal gubernamental de países de Asia Central y que utiliza correos electrónicos dirigidos, lo que nos lleva a pensar que este grupo se está reestructurando actualmente.
Las actividades maliciosas descritas en el informe de actividad APT de ESET, que comprende desde el cuarto trimestre de 2022 al primer trimestre de 2023, son detectadas por los productos de ESET. La inteligencia de amenazas compartida se basa principalmente en telemetría propiedad de ESET y ha sido verificada por el equipo de investigadores de ESET Research.
El informe puede descargarse desde el siguiente enlace: